Názory k článku Den IPv6: dnes proběhne velký zapínací „cvak“
-
jarda666 (neregistrovaný)
Ahojte,
plasi s IPv6 nekdo jiny nez geekove ? Zajima to vubec nekoho ? IPv4 adresy porad jsou , aspon u provideru napric republikou jsem nezaznamenal nejake potize s jejich ziskavanim .
Co routery na strane klientu ? Da se vubec sehnat nejake routery ktere maji IPv6 podporu a stoji to same co IPv4 ?
Nebo aspon ty zarizeni, ktere dejme tomu podporuji OpenWRT se daji priohnout na IPv6 ?
Nejak mi totiz unika prakticky dopad pro normalniho koncoveho uzivatele ...
-
Mard (neregistrovaný)
Vnucováním úsporek na úkor žárovek se dosáhlo jen odporu vůči úsporkám a "láska" k EU klesla na rekordní minima. Obávám se aby tažení za rozvojem IPv6 nemělo podobné negativní výsledky. Kdyby IPv6 každý potřeboval a chtěl, tak by se rozšířilo velmi rychle. Zdá se že lidi jsou "blbí" a nevědí co potřebují a proto je třeba jim to nanutit. Celé řešení s nedostatkem IP adres mělo být řešeno jinak - každý kontinent měl dostat jeden prefix a tento prefix se měl přidat před běžnou IPv4 adresu. Provoz v rámci kontinentu tvoří nejméně 70% trafficu a tak by se problémy řešily velmi snadně. A rozšíření adresového prostoru 254 krát by bylo dostačující na dlouhou dobu.
-
Celej na levo. Vudu kvuli nekolika masinm rozchazet DNS server a jeste kvuli nemu mit porad zapnuty stroj. Nektere z nich mam napsane v hosts na nekterych z nich, neco si pamatuji. Mezi zapamatovanim nejakeho 192.168.1.XXX a zapamatovanim ipv6 adresy je dost velky rozdil. Kdyby to aspon nebylo hexadecimalne.
-
j (neregistrovaný)
nj, kdyz nekdo pouziva pre IPv4 technologie ... (tedy 30+let stare postupy) ... ono totiz uz IPv4 umi (kupodivu) dynamicky modifikovat DNS, takze staci nastavit jmeno kazdemu dalsimu stroji (coz kupodivu kazdy stejne dela) a on pak jen sve ctene jmeno sdeli DNSku (pomoci DHCP trebas).
=> pokud si (napr) nastavim, ze se muj pristroj jmenuje "debilni-telefon", tak mi (kupodivu) pujde se na nej pripojit jako na debilni-telefon.moje-domena.cz. A (velke prekvapeni) v pripade IPv6 tohle bude fungovat i v pripade, ze bude v uplne cizi siti s uplne jinou adresou.
-
KapitánRUM (neregistrovaný)
Fanatikům to člověk nevysvětlí.
Asi takhle: Strávili 100 hodin blbnutím s něčím, co je vlastně horší, než předchozí technologie, utratili za to peníze a teď už prostě nemohou přiznat, že naletěli a dovolili, aby z nich někdo udělal totálního vola :-DJinak: Nejméně příští 4 roky bude mít každý důležitý server IPv4 adresu.
-
To by mohl. A kterou? Mam nejaky D-Link. Mam koupit jinou a pak narazet na jine veci, ktere nefunguji zase tam? Protoze, priznejme si to otevrene, vetsina vyrobcu routeru jsou docela bastliri a zaslouzili by nakopat do zakonceni zazivaciho traktu.
Jestli koupim novou krabku, tak az casem, az bude za rozumnou cenu neco, co umi ipv6 a je odladene lepe, nez nejaka beta, kterou vyrobce na uzivatelich testuje a SW chyby opravi mozna v novem firmware, mozna v dalsi verzi routeru, HW chyby si pak nechate az do konce pouzivani.
-
j (neregistrovaný)
Tak to ze SOHO krabky stoji obecne za kulovy je samo fakt, ale totez plati o Cisco a jinych "krabkach". Na tom se nic nezmeni ani za 10 ani za 15 let.
Obecne za slusny routrik povazuju to, na cem lze rozchodit dd-wrt nebo openwrt, coz je prakticky plnohodnotny tucnak => funcionalita je omezena ciste vykonem a pameti.
On trebas takovy mikrotik po SW strance stoji taky za pekny kulovy (napr sem 1/2 roku cekal na opravu SW, aby chodilo OpenVPN). A podle infa od cloveka co mikrotiky pouziva ve vetsim mnoztvi, tak po HW strance to jde s novinkama prej taky pekne do p... prej se pekne prehrejvaj.
=> vzdycky je to loterie, ale vazne nema smysl kupovat cokoli pod 500Kc, tam je to naprosta tragedie ve vsech ohledech.
-
>Ještě aby jsme tu chybu s dekadickou soustavou zopakovali i tady.
Proc chybu? Tu adresy jsou stejne ulozeny binarne a decimalni reprezentace je jen pro uzivatele, protoze vetsine lidi jsou decimalni cisla jaksi blizsi, nez hexadecimalni. Vsimnete si, ze cisla v ipv4 adrese jdou od 0 do 999 jenom ve filmech. V realnem zivote jdou pouze do 255.
-
Santiago (neregistrovaný)
Ja bych rekl, ze IPv6 adresy se (ve vetsi sit) pamatuji lepe, protoze sit je lepe strukturovana. Mam jeden prefix P, ktery si holt pamatuju, a pak uz to je jen P:1::1, P:1::2, P:2::1 ... Samozrejme, koncove uzivatelske pocitace maji nezapamatovatelne adresy ziskane ze SLAAC, ale u nich neni ani treba je moc znat. Oproti tomu u routeru a serveru jsou adresy jednoduche.
-
mpel (neregistrovaný)
IPv6 se nenuti jako usporky. Na IPv6 se nekteri snazi prejit driv, nez uz bude pozde. Na rozdil od normalnich zarovek (politicky korektne: tepelnych zaricu instalovanych do objimky E27) bude IPv4 v prodeji jeste pekne dlouho (Microsoft tuhle pry koupil 1 adresu za $11; kdo z vas to da?) a nikomu to na dual stacku nebude vadit. Nechcete-li zavest IPv6 uz ted, staci, kdyz za par let nebudete brecet, ze bylo malo casu, ze to nikdo nevyzkousel, ze se to nestihnete naucit, __doplnte si svoji vymluvu__.
(sorry, nestaci; pokud na vasem genialnim rozhodnuti ipv6 nezavest zavisi nejaka firma nebo vetsi spolecnost, budou vas mit casem uzivatele jiste radi)
Stejne tak vas museji mit radi lide napr. v Cine a v Indii (ja to rikam porad, sebereme cine vsechny jejich IPv4 ranky a dame jim class E; civilizovany svet s komunisty nemluvi a na ten jejich intranet jim to musi stacit ;-))
-
Ja na to seru, nemam ipv6 router a riskovat koupi nejake beta verze nehodlam. Brecite dobre, ale na spatnem hrobe. Jdete zjebat vyrobce, at si prestanou valet koule a daji do placu neco pouzitelneho.
Cetl jste dnesni clanek? "V nabídce e-shopu CZC, který routery zapůjčil, je v současné době 147 routerů. Z toho ale jen 13 deklarovalo podporu IPv6. Celkem 11 se jich podařilo nakonec získat a v 9 případech IPv6 skutečně fungoval. Jeden router vyžadoval aktualizaci firmware a jeden testovaný router se choval velmi špatně."
Co s tim ja nadelam?
-
j (neregistrovaný)
On CZC nabizi nejaky router? Mozna nekolik malo kusu, 147 ani nahodou, to sou tak mozna nejaky ty natovaci krabky, veskutecnosti je uvnitr jedno sitovy rozhrani a vsechny vystupy jsou jen virtualni ...
Mimochodem, CZC (ale v tom neni nijak vyjimecny) rad na shopu zvani (uvadeni nepravnivych informaci) nebo prozmenu v informacich chybi podstatne veci. A specielne s posledni upravou shopu je to naprosta tragedie tam neco najit.
-
„Co s tim ja nadelam?“
Vždyť zo toho vyplývá, že i v úplně obyčejném spotřebním shopu s počítačema seženeš čtyři krabky s IPv6 (včetně firewallu). Ty krabky teď ještě někdo bude určitě znovu testovat, stačí jenom chvíli počkat.
To znamená, že někdo udělá (a už z části udělal) celou práci za tebe. Dobré, že?
-
Na OpenWRT bezi IPv6 uplne bez problemov a uz aj tych beznych routerov pribuda. Tam by som problem nevidel. Problem bude v tom, ze mame nieco, co je konecne aspon trochu odladene, bezi to skvele a vsade to funguje a miesto toho, aby sa na tom stavalo, tak prisli inzinieri od stola a navrhli nieco uplne inak fungujuce, co bolo treba vsade implementovat prakticky od zaciatku a co sa nakoniec rozrastlo na obrovsky kolos. Ked si clovek cita tie RFC k IPv6, tak ho musi hned napadnut pribeh o tom, ako psicek a macicka varili tortu.
Kym pri IPv4 bolo mnoho veci navrhovanych z dovodu nejakeho praktickeho nedostatku, tak pri IPv6 ide vacsinou o onanisticke snahy roznych skupiniek o realizaciu ich dokonalej vizie, ktora je casto ina ako onanisticka vizia skupinky druhej. A co je najhorsie, vacsina toho bola navrhnuta este predtym, ako sa vobec prve zariadenia dostali do prevadzky a nemohlo sa teda ukazat, co za mega blbost to spolu "navarili".
-
jarda666 (neregistrovaný)
Hezky napsano :) , jen pri cteni portalu zamereno na tuto tematiku se tech clanku objevuje docela dost.
Co jsem pochopil bude hlavne sranda potom se zabezpecenim az zacne byt vsechno videt v internetu . Sice plati , ze NAT neni firewall apod. ale myslim , ze je to takovy psychicky blok aspon :) S ipv6 se bude muset ten firewall videt aby cloveku nehackovali lednicku nebo kalkulacku :D
-
TT (neregistrovaný)
Koukám, že nám ta popularizace IPv6 = hafo adres nějak zkomolila ten zbytek. Takže, IPv6 např. rozeznává tzv local adresy (přirovnal bych to k 10.x.x.x aj., btw jsou buď link local nebo site local) takže to, že má každé zařízení IP neznamená, že je routovaná v internetu. A když už bude potřeba se z ledničky na ten Inet dostat - ok dostane global adresu, nebo to zaproxujete, dáte tunnel atd. - a teď jsme u toho NATu - co je to za zabezpečení :). Ano chapu ten psychicky blok - jenže ten je mylný navíc i v IPv6 ten blok můžete mít :) A FW bych doporučoval už dnes - pokud vám vyhákují PC tak vlastně mají vaši vnitřní síť jako na talíři ať už v IPv4 nebo v6.
A ještě k přechodu z v4 na v6 - ano najdou se lidi co milují Firefox 3 protože přece nebudou upgradovat na F13, ale pak tam nebudou nové funkce a změny. A když se chce najdete v IPv6 plno kouzelných featurek, které se dělají ve 4 dost "dirty"
-
„Takže, IPv6 např. rozeznává tzv local adresy (přirovnal bych to k 10.x.x.x“
Pozor na to, link-local adresy jsou nesrovnatelné, to už mají blíž k IPv4 link-local, tedy 169.254.x.y.
„nebo site local“
Site local, nebo dneska spíše ULA nejsou odpovídají 10.x.y.z ze starých dob, tedy před IPv4 maškarádou. Nepoužívají se pro přístup k internetovým službám,
snad s výjimkou přístupu k místnímu proxy serveru. -
j (neregistrovaný)
U IPv6 jde predevsim o to, ze za dobu provozu IPv4 se narazilo na hromady nedostatku, ktere se resily bud nejakym tim drbanim se nohou za uchem (NAT ...) nebo se je realne nepovedlo vyresit vubec (napr multicast). Proto se v okamziku, kdy doslo ke shode, ze novy protokol jednoduse nemuze byt zpetne kompatibilni doslo i k tomu, ze by bylo lepsi to pojmout velkoryse, aby se za dalsich 10 nebo 20 let nemusel navrhovat dalsi nekompatibilni protokol.
Ze 90% z toho co IPv6 umoznuje nebudete pouzivat prece nicemu nevadi. Podstatny je, ze to (narozdil od IPv4) jde.
-
yaa (neregistrovaný)
No IPv4 je zatim dost (nikomu asi nechybi) a nejakej ten patek jeste bude, ale az zacne chybet bude pozde nebo si snad dokazete predstavit, ze by jste mel jen IPv6? :) Do tohoto bodu by mel byt kazdy nebo aspon drtiva vetsina pristupny pres IPv6. V praxi to spis vidim tak ze IPv4 zacne byt tak draha, ze kazdej s radosti prejde na IPv6 a ciste IPv4 budou jen ti lenosi co maji takovy odpor k inovaci a hledaji problemy vsude mozne ;)
-
yaa (neregistrovaný)
To co sem chtel napsat z toho asi nevyznelo jak jsem chtel :). Ciste s existenci IPv4 se da jeste nakej ten rok na celem svete prezit aniz by se neco vyrazne zmenilo, tim nerikam ze momentalni a budouci stav internetu pres IPv4 je v poradku (/wave NAT) Chtel sem tim rict, ze zatim je cas, nicmene jakmile opravdu nekdo nekde nedostane IPv4, protoze nebude tak uz je pozde, protoze uz nekteri prichazeji o prilezitosti :) Ale Ok, ja problem nemam, mam ctverek i sestek ke svemu domacimu uziti dostatek :)
-
j (neregistrovaný)
Rekneme, ze ste prave ted zjistil, ze vam prebejva par miliard dolaru, a rozhod ste se, ze budete ISP ... sem zvedav, kde vemete IPcka (pominme ze nekoho koupite) ... aha, on uz vam nikdo zadne neda, protoze nejsou ...
=> chudaci africani, jihoamericani ... a vubec obyvatele oblasti, ktere si nestacili zhamtat dost Ipv4 adres.
Ale muzete to zkusit i jinak, schvalne, zkuste po (libovolnem) providerovi chtit !jedno! Cecko. Kolik se najde takovych, kteri vam ho daj.
A pokud budete chtit pouzivat IPsec, tak to tak nejak bez tech adres jaksi nejde.
-
Afričani mají zatím celkem rezervu :).
„A pokud budete chtit pouzivat IPsec, tak to tak nejak bez tech adres jaksi nejde.“
Bez nějakých těch adres nejde nic, že. Mimochodem IPsec pro provoz nepotřebuje mít na koncových bodech veřejné adresy, stačí buď veřejku na jednom konci, nebo mít venku mediation server, který by měl zprostředkovat UDP NAT Traversal.
-
j (neregistrovaný)
Nj, jenze to uz zase vyrabime doprdele diru/nosime drivi do lesa/... proc delat veci jednoduse, kdyz to jde slozite.
BTW: Pokud vim, IPsec existuje ve vice variantach a minimalne jedna zahrnuje to, ze soucasti kontroly je prave IP adresa protistrany => pokud je v ceste NAT, tak to nesedi => spojeni se nenavaze.
Ipsec sem teda nikdy moc do detailu nezkoumal, ale mam celkem v zive pameti jak po nas obchodni parner pozadoval IPcko kvuli tunelu a paac sme uz volny nemeli, tak sme si museli nechat pridelit. -
IPsec je rozšíření TCP/IP o zabezpečení. Představuj si to jako framework, na kterém se dá postavit široká škála řešení. Často není možnost, aby jeden člověk nakonfiguroval obě strany, ale musí někomu předat instrukce jak ten IPsec nastavit. Tudíž zvolí konkrétní konfiguraci, která má konkrétní požadavky.
Taky proto existují různé brandované implementace IPsec, které se podle této sady protokolů nejmenují. Implementují třeba jenom konkrétní setup nebo několik setupů, které IKE(v2) umožňuje.
-
mpel (neregistrovaný)
o neco mene vagne: IPsec si muzete predstavit jako bezpecny komunikacni protokol nad IP (napr. misto Ethernet-IP-TCP mate Ethernet-IP-(ipsec: AH nebo ESP)-(sifrovane TCP), resp. Ethernet-IP-ipsec-(sifrovane IP) v tunnel modu)
Odkud kam se kdy bude co zabezpecovat (a jak) se domlouva bokem zvlastni cestou, typicky protokolem IKEv2, drive IKE/ISAKMP/Oakley. IKEv2 klient ve Windows 7 je na par kliknuti funkcni.
IP adresy obou stran je samozrejme dulezite kontrolovat uz kvuli utokum man-in-the middle. Ale prekonani NATu IKE vyresene na strane klienta ma; na serveru staci z verejne adresy presmerovat 2 porty.
Do zadne prdele nikdo drivi nevozi. Proste se v IKE paketu posle sekce (tusim Notify) rikajici "bacha, tenhle clovek je za natem". Mate-li funkcni SW, nic sloziteho.
-
juj... super, já myslel, že si šifrovaně data mezi mým domácím PC a mobilem připojeným přes 3G napřímo nepřenesu... můžu Vás poprosit o radu jak to nastavit? PC má linux a mobil taky (android).
PS: mám jenom jeden požadavek, nechci aby tam byl nějaký mužík uprostřed. I když připouštím, že z obou stan má ten MITM jakž takž kompatibilní rozhraní, jsem konzervatista a v určitých věcech se mi líbí, když mezi mnou a tou druhou stranou není nikdo uprostřed ;)
-
Lol Phirae (neregistrovaný)
No, na mém Androidu se IPSec nastavuje v Nastavení - Bezdrátové připojení a sítě - Nastavení sítě VPN - Přidat síť VPN a teď si vyberete mezi PPTP, L2TP, IPSec PSK, IPSec s certifikátem anebo OpenVPN. Drobný problém může být v tom, že já tam mám CM 7.2, jak to vypadá s podporou VPN sítí u vašeho telefonu a vaší verze Androidu/jádra opravdu netuším. Certifikáty se tam cpou přes Nastavení polohy a zabezpečení - v části Úložiště pověření - Instalace z karty SD. Uživatelský certifikát musí být zabalen včetně klíče a certifikátu ve formáty PKCS12, zhruba takto:
$ openssl pkcs12 -export -in usercert.pem -inkey userkey.pem -certfile cacert.pem -out certs.pfx
-
„PS: mám jenom jeden požadavek, nechci aby tam byl nějaký mužík uprostřed. I když připouštím, že z obou stan má ten MITM jakž takž kompatibilní rozhraní, jsem konzervatista a v určitých věcech se mi líbí, když mezi mnou a tou druhou stranou není nikdo uprostřed ;)“
Tuším, že dneska se při použití PSK vždy doporučuje IKEv2 (ne IKEv1). Při použití certifikátů by to mělo být jedno, navíc máš na výběr i OpenVPN.
Pokud jsem to správně pochopil (kryptografii prd rozumím), tak ve fázi domlouvání klíčů (IKE) při použití PSK (za předpokladu kvalitního PSK) je sice možné udělat MITM, ale PSK se použije k zašifrování domlouvaného klíče a k autentizaci celé zprávy.
Takže pokud pan MITM neprolomí samotnou autentizaci, mají obě strany bezpečně domluvené zaklíčování své další komunikace a on má docela pešek.
Ale jak říkám, prd tomu rozumím, někdy se v tom zkusím pohrabat, ale není čas.
-
mpel (neregistrovaný)
Jaky je rozdil v prenaseni PSK mezi ike2 a ike1 nevim, podle me je to jedno a hlavne PSK se nedoporucuje pouzivat vubec, protoze hesla si typicky lide vybiraji "monkey" a jestli copy-pastuju bezpecny PSK nebo kopiruju RSA klic nebo X.509 certifikat uz je jedno.
Na ISAKMP+IKE MITM neudelate, neni-li pouzite Aggressive mode (srsly, who built this crap?), protoze prvni ctyri zpravy vymeni proposals + klice a domluvi tak bezpecnou (i kdyz treba v OpenSwanu schvalne s malym exponentem kvuli rychlosti) ISAKMP SA, ktera je obousmerna a slouzi _vyhradne_ k domlouvani tech "skutecnych" SA (tomu domlouvani se rika Phase 2 nebo Quick Mode). Ve Phase 1 je uz jedno, jestli mate PSK, RSA klice v souboru, v LDAPu, z DNSSEC nebo v X.509 certifikatu. Vezmou se jen ta data pro crypto podstatna a vlozi do KE payloadu.
MITM by tedy musel prolomit tu uvodni vymenu klicu (DH, Oakley). Preju mu hodne stesti. Nicmene, pokud ma MITM na vasem pocitaci virus, ktery rozesle do sveho botnetu ten klic, ktery jste prave domluvil (a az za hodinu vyprsi, tak posle ten novy), nemate-li zafixovane IP adresy, muze MITM vasim SPI a platnym klicem teoreticky komunikovat odjinud. Nezkousel jsem, asi je to zavisle na tom jak moc ktera implementace ty IP kontroluje.
Jen pro zajimavost, RFC 2409, 5.5: The identities of the SAs negotiated in Quick Mode are implicitly assumed to be the IP addresses of the ISAKMP peers, [...]
V IKEv2 se tyhle veci zjednodusily, protoze jste-li na Bali pripojeni pres GPRS s odezvami do evropy v radu sekund, tak domlouvatni tunelu pres ISAKMP (6 zprav) nebo IKEv2 (4 zpravy) znamena nekolik sekund mene, coz uz poznate. Nicmene na MITM mysleli, takze je tam na to takovy sikovny tricek :-)
-
„podle me je to jedno a hlavne PSK se nedoporucuje pouzivat vubec“
Nesmysl.
„protoze hesla si typicky lide vybiraji "monkey"“
To asi nebude úplně dobrý důvod pro zákaz kvalitních PSK, že?
„a jestli copy-pastuju bezpecny PSK nebo kopiruju RSA klic nebo X.509 certifikat uz je jedno.“
Nevím jak u tebe, ale jiným to jedno není. Proto se PSK jako jedna z možností používá. Proti RSA nic nemám, ale nebudu přece argumentovat nesmysly.
„Na ISAKMP+IKE MITM neudelate, neni-li pouzite Aggressive mode (srsly, who built this crap?)“
Odpověď je velice jednoduchá. Road warrior + PSK + main mode pokud vím vůbec nefunguje. Detaily si nepamatuju, tak jsem našel alespoň:
“The IP address is not known and cannot be specified in the racoon configuration file or in the /etc/psk.txt file. A different way to determine the identity of the client must be found. When using pre-shared keys this requires the aggressive mode! The best solution is the usage of X.509 certificates though.”
(http://www.ipsec-howto.org/x304.html)
„Jen pro zajimavost, RFC 2409, 5.5: The identities of the SAs negotiated in Quick Mode are implicitly assumed to be the IP addresses of the ISAKMP peers, [...]“
IMO na té větě je nejzajímavější právě „[...]“
„V IKEv2 se tyhle veci zjednodusily, protoze jste-li na Bali pripojeni pres GPRS s odezvami do evropy v radu sekund, tak domlouvatni tunelu pres ISAKMP (6 zprav) nebo IKEv2 (4 zpravy) znamena nekolik sekund mene, coz uz poznate. Nicmene na MITM mysleli, takze je tam na to takovy sikovny tricek :-)“
Zjednodušení je určitě velmi příjemná věc. Ale jestli je to hlavní důvod, to se mi nezdá. Zvláště IKEv2 právě překlenuje bezpečnostní problémy s IKEv1.
-
mpel (neregistrovaný)
Nesmysl? Proc je to nesmysl? Nikdo Vase kvalitni PSK nezakazuje, ale obecne neni _doporucene_ PSK pouzivat prave proto, ze muzete utocit slovnikem.
http://www.openbsd.org/cgi-bin/cvsweb/src/etc/iked.conf?rev=1.2 posledni radek"Argumentovat nesmysly" opet nechapu - ja si pod "kvalitni PSK" predstavim neco, co nechci opisovat znak po znaku. Tudiz to nejak bezpecne zkopiruju. A jestli kopiruju tricetiznakove heslo z pwgenu nebo petiradkovy klic v PEM je mi opravdu uplne jedno; do meho clipboardu se to vejde. Ale at si PSK kdo chce pouziva, od toho to tam je...
To, ze road-warrior s main-mode neumi Racoon jeste neznamena, ze to nejde. Ja napisu do ipsec.conf(5) "ike esp passive from em0 to any psk heslo" a mam na adresach interfejsu "em0" road-warrior-like setup. Mozna ten pravy duvod, proc to autori racoonu nenapsali, je, ze nechteji PSK moc rozsirovat ;-)
Dokonce jsem tohle nastaveni pouzival k vyuce Administrace UNIXu na MFF - studenti meli za ukol sve stroje k VPN pripojit a nastavit tunelovani ze sve site do me site. (tzn. SAcka host-host i net-net) A protoze PKI jsme si uzili pri konfiguraci SMTP+TLS, rozhodl jsem se pouzit PSK. Realne ten ukol nekolik studentu zvladlo.[...] znamena "without any implied constraints on the protocol or port numbers allowed, unless client identifiers are specified in Quick Mode."
-- Opravdu nevidim nic zajimaveho. Kdyz klient nastavi svuj identifier v quick mode (srcid/dstid, leftid/rightid), nema to na IP adresu tunelu vliv. Identifier si muzu vybrat jaky chci (pouziva se maximalne ke kontrole subjectAltName pri X.509). Lepe receno, je to zavisle na konkretni implementaci, nebo nevim, kde je specifikovano jinak.Jake _bezpecnostni_ problemy IKEv1 ma? Nevim, co je "hlavni" duvod vyvoje IKEv2, podle me je to zjednoduseni protokolu z duvodu blbych adminu, kterym radsi vyhovuje za 5min vygooglit "openvpn linux howto" nez se naucit pouzivat realna reseni ;-) (nekteri vyrobci maji IPsec na 10GE switchich/routerech, o OpenVPN nevim) a take nekompatibilita nekterych implementaci kvuli nejasnym definicim. A jako feature navrch zrychlili SA establishment, pridali EAP, ...
-
„Vase kvalitni PSK nezakazuje, ale obecne neni _doporucene_ PSK pouzivat prave proto, ze muzete utocit slovnikem.“
Přičemž bych chtěl vidět, jak někdo slovníkem útočí na dostatečně dlouhé generované PSK. Generované PSK a uživatelem zadávané PSK jsou dva zcela odlišné postupy a měly by se každý z hlediska bezpečnosti posuzovat zvlášť.
„ja si pod "kvalitni PSK" predstavim neco, co nechci opisovat znak po znaku. Tudiz to nejak bezpecne zkopiruju.“
V tom se shodujeme.
„To, ze road-warrior s main-mode neumi Racoon jeste neznamena, ze to nejde.“
Já nechci věnovat svůj čas přehrabáváním vykopávek. Ale šlo o to, že nebyla v době ověřování PSK v main mode ještě k dispozici identifikace, zatímco v aggressive mode je k dispozici obojí.
http://tools.ietf.org/html/rfc2409#section-5.4
„Opravdu nevidim nic zajimaveho.“
Moje chyba.
„Jake _bezpecnostni_ problemy IKEv1 ma?“
Právě ten, který popíráš :). Tzn nebezpečný PSK road warrior, který implikuje aggresive mode.
„podle me je to zjednoduseni protokolu z duvodu blbych adminu“
Adminům to může být úplně jedno. Když si otevřu konfiguraci Strongswanu, tak je úplně stejně přímočará pro IKEv1 i IKEv2 a dokonce to se stejnou konfigurací umí i používat IKEv1 jako fallback.
„A jako feature navrch zrychlili SA establishment, pridali EAP, ...“
Konsolidaci, zjednodušení a rozšíření protokolu samozřejmě vítám.
-
mpel (neregistrovaný)
Ten problem nastane az v pripade, kdy na jedne adrese budu chtit mit road-warrior s vice PSKs - rozlisovat mezi nimi na zaklade srcid potom evidentne nebude mozne.
Predpoklad je, ze MITM nezna PSK, takze tu cast "HDR*, IDii, HASH_I -->" uz neprecte. Nejak mi unika dopad na bezpecnost, proste v main mode jsou jine identifikatory.
-
mpel (neregistrovaný)
Pro road warriors samozrejme, tam musi stacit SPI. Ale na tunely mezi dvema statickymi body (napr. pobocky jedne firmy) vam pribyde dalsi bezpecnostni prvek (i kdyz je IP spoofing jednoduchy jen jednim smerem). Ano, stavet bezpecnost se neda, ano, na vyssich vrstvach bychom IP adresu pouzivat k identifikaci nemeli, ale te bezpecnosti to rozhodne neubere, coz si evidentne myslela i tazatelova protistrana :-)
-
yaa (neregistrovaný)
Nevim, nejsem isp, ale co nedavno zadal muj isp, tak pokud vim zadnej velkej problem nemel, ale chtel jen jedno cecko a jestli neco platil tak nakou v ramci isp trapnou castku :)
Ja osobne cecko nepotrebuju, ne ze bych se mu branil, ale staci me /29 +1 co mam.. zas tak moc zarizeni co potrebuji hodnotny internet doma nemam :) Ono totiz ikdyz bylo ipv4 adres habadej, treba v roce 2003, tak stejne kde jaky isp chtelo zaplatit za jednu blbou IPv4 adresu, sem tam nekdo daval zadarmo jednu verejnou a pak se nasel nekdo kdo da vic na pozadani (viz muj isp), takze ono jestli vam isp da ipv4 adresy nebo ne je celkem jedno, problem muze mit tak maximalne nakej nove vzniklej mega isp co potrebuje hafo adres, ale i tak se da prezit s hodne malo verejnyma ip (pisu prezit, protoze jak je znamo dnes vetsina lidi nema hodnotny internet)
Pokud budu chtit pouzit IPsec (jakoze pouzivam) tak ho pouziju, protoze ja doma internet mam :D (vim jak ste to myslel jen si delam srandu)
Nastesti patrim k tem stastnejsim co maji funkcni dualstack s par verejnyma adresama IPv4 a hodne moc adresama IPv6 :D Jen sem chtel rict ze momentalne nikoho zas tak netlaci nedostatek IPv4 ale az se nekdo takovej obevi, tak bude pozde, to znamena ze by mel kazdej dobrovolne zacit aby se pak z niceho nic nedivil ze se nemuze nekam dostat protoze prece ipv6 ho enzajima :))
-
j (neregistrovaný)
Sak ja mam taky /29 a staci mi to tak akorat, teda, samo dokazal bych vyuzit /26, to by tak akorat pokrylo to, ze bych moh mit komplet verejny IPcka vsude (dycky /29 na segment).
V principu by mi provider i dalsi IPcka dal, ale ja je proste aktualne nijak zvlast nepotrebuju, protoze pro desktopy je mam, a na ten zbytek se uz nako dostanu, trebas i pres IPv6 (mam v provozu 4 segmenty z meho tunelovaneho /48 rozsahu).
Ale to sme u toho, ze muj ISP si celkem nedavno "nasyslil" tusim 4 nebo 8 Ccek a tech zakazniku zas tak moc nema.
-
mkub (neregistrovaný)
myslis, ze nie je problem zohnat adresu IPv4? aktualne nie, ale si pockaj, kedy dojdu IPv4 aj u lokalnych providerov, ktori este nepresli na IPv6, ti budu musiet si zadovazit blok adries od niekoho druheho, kde je ta rezerva velka (napr. Afrika), alebo bude musiet prejst aj ten na IPv6, odbornici odhaduju, ze Europa minie behom tohto roku vsetok prideleny priestor, resp. zaciatkom buduceho
-
Paul (neregistrovaný)
Zrovna včera jsem všude četl jak státní správa není připravena a dle mého názoru není, protože nejsou na tato zařízení peníze. Sám jsem se poohlížel po nějakém řešení, ale a)adsl router jsem nezahlédl b)provider ohledně tohoto tématu zatím mlčí c) každý není na 100megové síti d)moje pračka ještě nemá ipv6 adresu ;)
-
Přepnete AžDSL router od operátora do bridge módu a za to dáte nějakou rozumnou krabici.
Osobně jsem to doma udělal kvůli tomu, že ten telekominický Huawei každou chvilku rozpojoval spojení. Ten Mikrotik, co je tam teď, je docela držák a kromě jiného umí i slušně IPv6 a popravdě není nijak dražší než všechny ty ostatní čínské krabičky.
-
Paul (neregistrovaný)
Jistě nic mi v tom nebrání, jenom investice do zařízení, které vlastně nepotřebuji (protože stávající funguje) a nevyužiji (VDSL není dostupné).
Ad. bridge a další zařízení - opět cena zařízení + náklady za energie dalšího zařízení.
Prosím berte mé úvahy jako od člověka spotřebitele (kdybych byl firma uvažuji zas trochu jinak ;)) -
xxxxx (neregistrovaný)
Jenomže on nechce "VDSL" ani nic jiného. Stávající "aby mu fungovalo jako" mu totiž funguje, plně k jeho spokojenosti a ještě (relativně) dlouho fungovat bude.
"Člověk spotřebitelů" se teď jen snaží od dveří odhánět agenty s teplou vodou, věštící konec světa a podstrkující jako spásu něco se spoustu "zajímavostí", které teď nepotřebuje (nyní je spokojen, už má vše vyřešeno i nad stávající sturkturou). A že pokud si nepořídí to suprdupr novinku ...která ale vlastně moc novinkou není a zatím o ní nikdo moc nestojí krom evangelistů..., tak prý pokud do toho teď nevrazí čas a prachy, tak za pár let upadne svět do záhuby. A toto se věští už notnou řádku let.
A člověk aby ty Jehovisty vidlemi vyhazoval. A lupou hledal reálnou použitelnost pro běžného člověka a pro tuto chvíli a tuto situaci.
-
ssaa (neregistrovaný)
presne tak. Mna ako spokojneho spotrebitela netrapi nieco ako IPv6 a vlastne ani neviem, co to je. Internet mi funguje, tak co tu riesite.
Prechod na IPv6 bude zaujimavy. Cele to stoji na ISP, on musi ponukat IPv6 konektivitu, IPv6 zariadenia a zariadit aby som sa sucasne dostal na IPv6 a IPv4 obsah.
Je to nieco podobne ako s prechodom na DVB-T. S tym rozdielom, ze tu si nikto nemoze dovolit vypnut IPv4. IPv4 tu bude s nami este poriadne dlho.Suhlasim aj so Samuelom.
Vyhoda IPv4 je v jeho relativnej jedoduchosti a rovnosti "pristupu ku kazdemu".
Kdezto IPv6 bol vyvyjany s ohladom na QoS a ine podobne vlastnosti, ktore mozu pomahat ale su aj "zneuzitelne". -
j (neregistrovaný)
Pokud nevis, ze zadny internet nemas, tak opravdu nemusis nic resit. Az zaznamenas potrebu se z hospody pripojit domu, abys moh spoluchlastacum ukazat uzasnou fotku, tak zjistis, ze bez internetu to jaksi moc nejde a presne v tem okamzik ti mozna dojde, ze kdybys mel Ipv6, tak bys nemel problem.
-
No tak, když nechce IPv6 (nebo VDSL), tak ho vlastně nic netrápí, ne? A až skončí morální i skutečná životnost jeho krabičky, tak ji vymění za nějakou, která bude pravděpodobně IPv6 už umět. Stejně tak ve chvíli, kdy bude pro operátor nová krabička s IPv6 levnější než udržovat Carrier Grade NAT, tak ji pravděpodobně koncový uživatel dostane za pár kaček v rámci "zrychlování". Stejně tak jako jsme vyměnili modemy za DSL.
Naštěstí tou dobou už podpora IPv6 bude u content providerů dostupná.
-
j (neregistrovaný)
nj, ja sem se osobne celkem bavil nekdy pred 3? lety kdyz UPC zaclo prechazet na "moderni" technologii a zlikvidovali kvuli tomu funcni DHCP ... a pak to 1/2 roku spravovali (managorsky rozhodnuti). Hlavne ta prezentace verejnosti ... lol, misto aby lezli kanalama a stydeli se.
Takze pocitam ze s IPv6 to bude hodne podobny :D, nebot jim pokud vim jeste stale nefunguje ve vnitrni siti ani jako experiment (mozna tak nekde v laborce).
-
j (neregistrovaný)
Mali provideri jsou v nasazovani novinek daleko flexibilnejsi, mozna i proto, ze vetsinou nepouzivaji cisco ... ;D. On takovej PC router ma neco do sebe a krabka na ARM taky lecos zvladne (casto v obem pripade vic a levnejs, nez "profi" reseni).
Ostatne, u zakaznika mam 1Ucko misto ciska, ktere tam bylo puvodne od nejakeho subdodavatele. Vecne to delalo neco jineho, nez se od toho chtelo, a ani "certifikovani" odbornici nevedeli co stim. Kdyz tam nedavno delali nejakou udrzbu na alektrice, tak mi bylo skoro lito to vypnout, uptime skorem 2 roky ...
Nj, du si rejpnout do svyho providera, precijen 30ms navrch kvuli tunelu ... ;D
-
JA (neregistrovaný)
Zda se to jenom mne nebo http://www.nebezi.cz/ opravdu nebezi:o)
Nejde pingnout, nic ...... -
ok, prave jsem upgradoval firmware routeru, aby podporoval lepe IPv6, ale zadrhl jsem se na firemni siti - proste mame ted lokalni sit s podporou IPv6 po kancelari a to je tak vsechno - mame nedostatek IPv4 adres, tak minimalizujeme abychom meli jedno IP na kancelar a ostatni si jedou na necem z 192.168/16.
Jak pan Sury stale opakuje, dokud neni obsah, nejsou konzumenti, kdyz nejsou konzumenti, nikdo negeneruje zadny obsah. Aspon je ale videt aktivita, ze se cas od casu nektere spolecnosti rozhoupou a aspon pridaji podporu... to bych chtel pochvalit. V nasem konzervativnim svete, kde nikdo nedela nic navic, protoze neni zaruceno, ze to hned nekdo zaplati, je to docela uspech. Jen tak dal...
za par let uz se k tomu IPv6 dostaneme skoro vsichni, firewally budou i na lednickach, takze se nebudem muset bat a bude se to dat konecne masove pouzivat.Jen me desi, ze v IPv6 se od zacatku rozdavaji bloky /16 nebo /24, cimz dojde k uplnemu rozdani behem par mesicu a bude se muset vymyslet neco jako IPv8 s pulkilobitovyma adresama.
-
j (neregistrovaný)
U IPv6 se predpoklada, ze koncovy uzivatel dostane /48. To je 65k siti (pro vetsinu dost navzdy). /64 je prefix konkretni site - technicky se sice da dal delit, ale pak nefunguje automaticka konfigurace a dalsi funkce.
Presto zbyva nasobne vice siti (na vyssich urovnich) nez je vsech IPv4 adres. Pokud tedy providet (napr) dostane /24, tak ma nejakych 16M (milionu!!!) /48 prefixu pro sve uzivatele.
Velke prefixy se prideluji prave kvuli stavajicimu stavu IPv4 - tedy neuveritelne rozdrobeny adresni prostor = ohromne routovaci tabulky (a jeste nejakou dobu se to bude vyrazne zhorsovat, prave kvuli tomu, ze IPv4 uz nejsou). Pokud totiz dam nekomu dostatecne velky prefix, dost pravdepodobne mu nebudu muset davat zadny dalsi => jediny zaznam ve smerovaci.
Jinak celkem vychazi cca bilion IPv6 adres na cm ctverecny Zeme. Jinak jeden /16 rozsah +- staci pro vsechny obyvatele planety.
-
„Coz ukazuje“
Ale vůbec neukazuje :).
„ze i na IPv6 asi bude potreba mit NAT.“
Potřeba sice ne, ale přepis adres je technika, která se používá na mnoho různých účelů než jen na poskytování internetových služeb neoadresovaným částem sítě. Proto se taky překlad adres implementuje jak na IPv4, tak na IPv6.
-
Karel (neregistrovaný)
Tohle pánové vymysleli už v minulém tisíciletí (ono IPv6 je už plnoleté). Řešení je vpravdě vypečené - oni rozdávají jen část adresního prostoru (čtvrtinu?) a až bude docházet, tak začnout rozdávat další část, ale s jinými pravidly. Takže nový protokol netřeba, jen se změní pravidla.
-
„Jen me desi, ze v IPv6 se od zacatku rozdavaji bloky /16 nebo /24“
LIRové dostávají /32. Takže i pro ty větší, kteří mají na to platit si členství u některého z pěti RIR, je připravených řádově tolik celých velkých rozsahů, kolik bylo v IPv4 pro koncáky. A kdyby se to neosvědčilo, tak zůstává plán B, o kterém tu už někdo psal.
-
LunarProspector (neregistrovaný)
Zdar borci, jsem začátečník co se učí víc pracovat s počítačem potažmo s Linuxem a články o IPv6 čtu, jenom z toho nejsem moc chytrý. Co můžu udělat já jako jednotlivec uživatel, abych se na IPv6 připravil? Koupit nový router, síťovou kartu nebo něco někde nastavit? Nebo je to spíš úkol pro providera (v mým případě UPC)? Chápu že můj dotaz se sem asi moc nehodí, ale kdyby jste měl někdo radu, tak sem s tím.
-
>Co můžu udělat já jako jednotlivec uživatel, abych se na IPv6 připravil?
Stahnout si z knihovny Rootu knihu o ipv6 od Satrapy a precist si ji: http://www.root.cz/knihy/internetovy-protokol-ipv6-treti-vydani/ nebo rovnou koupit v kamenaci.
-
mpel (neregistrovaný)
rada: vydrzet :-)
mene uzitecna rada: napsat UPC mail a ignorovat jejich vymluvy "na podpore ipv6 pracujeme"
uzitecnejsi rada: necist diskuse o ipv6 na ceskych zpravodajskych serverech ;-)
jeste uzitecnejsi rada: nebat se cist/hledat odpovedi primo v rfc/zdrojacich: casem se naucis rychle se orientovat v obsahu ciste technickeho razu (tzn. preskakovat omacku a soustredit se na podstatu sdeleni)
Ve dnesni dobe virtualnich stroju a levnych krabicek s podporou systemu jako napr. openwrt neni az takovy problem si veci vyzkouset; daleko tezsi je nejdriv se s tim naucit pracovat. Nutno dodat, ze nechces-li byt technicky zamereny/nezajima te to, je lepsi to neresit a nechat to na svem poskytovateli - je to jeho problem.
Pokud te to zajima, doporucuji si nastudovat ARP, potom odpovidajici cast ICMPv6 a hledat (a oduvodnovat) rozdily :-) -
j (neregistrovaný)
Uplne jednoduse - chces IPv6? je to easy.
V pripade ze mas win vista/7, IPv6 dost pravdepodobne mas, aniz to tusis, protoze na nich by default bezi teredo.
Na tucnaku si to muzes rozjet taky.
Pripadne si najdi poskytovatele tunelu - trebas http://tunnelbroker.net/, mas to vcetne navodu pro ruzny systemy.
Samo pocitej s tim, ze nenativni (= neda ti tvuj provider) = horsi parametry (rychlost, latence), ale funkcni (na roota se pres IPv6 dostanes). Bonus - na torrentu budes dycky jako aktiv.
-
Sten (neregistrovaný)
Otázka je, o jakého jednotlivce jde. Správce sítě nebo administrátor? Asi by měl začít tou Satrapovou knížkou. Programátor? Ten by se měl hned po té knížce vrhnout na dokumentaci API svého systému. A uživatel? Ten nemusí dělat nic, jak to pro něj bude dostupné, tak mu to pojede samo od sebe :-)
-
mpel (neregistrovaný)
Programator by mel umet pouzivat sockety i getaddrinfo(3), o tom zadna. Jesteze je na vsech rozumnych systemech jednotne API. Sysadmini by meli znat detaily prislusnych protokolu perfektne, aby byli schopni delat v pripade problemu se siti "educated guesses" (studovane odhady? jak se to rekne cesky?) a nezkouseli jen nahodne mackat cudliky podle howtocek na netu.
Pokud jde ale o programatora realtime/mission critical/high available software, mel by detaily znat take, jinak bude akorat bastlit... Vyvojari her, synchronizace dat, failoveru schopnych aplikaci nebo nekterych "firewallu" by to obcas opravdu potrebovali :-(
Souhlas, uzivatel musi mit jen zajem; pokud ho nema, at to necha na poskytovateli. Nebo se napriklad uklikne pri upgradu neoriginalniho firmware a unbricknout si router uz nebude umet, cimz se akorat nastve.
-
j (neregistrovaný)
Rika se tomu "kvalifikovany odhad" - tedy odhad zalozeny na znalostech, pripadne vypoctech.
Jenze ono i kdyz clovek vi jak to funguje, tak vetsinou ma problem v tom, ze nema cas zkoumat proc se to chova tak jak se to chova. Takze 90% problemu skonci tim, ze to "vytrhnete ze zdi" a pak uz to funguje. Tudiz vite prd co a proc se delo.
Router odnese na reklamaci, ne? ;D Bez prdele, smula prodejce pokud se to necha uzivatelsky flashnout a zmrvit. Totez by platilo trebas i v aute, pokud vam dam do menu "flash vstrikovaci jednotky" je to uzivatelska funkce = predpoklada se, ze ji budete pouzivat = vztahuje se na to zaruka.
Lepsejsi krabky maji aspon nejakej bootloader, kterej uzivatelsky preflashovat nelze, a pokud se nezadari, tak to nastartuje aspon do stavu, kdy se to da flashnout znova. -
mpel (neregistrovaný)
diky za opraveni
K vecem, ktere podle manualu i weboveho klikatka "might void your warranty", vetsinou patri jak flash neoriginalniho firmware, tak rozsroubovani deklu, pripajeni JTAG/RS232 a reflash firmware tudy. Nevim, jestli ty krabicky za 300 Kc umeji nejaky nouzovy TFTP RRQ z pevne dane adresy, jako umela treba AirCA8 (lec se zdrojovym UDP portem 0) nebo nektere stare telefony od Cisca. Ale i ta AirCA8 se musela otevrit. Potom muzete potrebovat nejaky kabel ke svemu rs232 konektoru, ktery taky neco stoji (minimalne sehnat schema + skill).
Kazdopadne, tohle evidentne nejsou veci, ktere by tazatel dotazu chtel nasledujici tyden resit.
Chcete rict, ze jste nekdy videl cloveka, kteremu vyreklamovali brickly router?
-
j (neregistrovaný)
Chci rict, ze sem nekolikrat uspesne reklamoval blbe flashly MB a ano, obcas se se mnou chteli dohadovat, tak sem jim vysvetlil (a kupodivu to celkem zabiralo) ze soucasti CD je SW na flash => ze jakozto uzivatel sem si onen mi dodany SW nainstaloval a jelikoz mi ten SW sam nabidl flashnuti MB (primo z widli) tak sem to odsouhlasil (neb se radne staram o bezpecnost sveho SW a tudiz je treba udrzovat i aktualizovane firmwary, coz predchazi jak bezpecnostnim tak jinym problemum). Mno a nekolikrat to jednoduse chciplo.
Samo pajeni konektoru na desku uz je trochu neco jinyho. Ale podle legistlativy (napisy na cemkoli vam muzou byt ukradene), nemuzete o zaruku prijit (v zadnem pripade). Existuje pouze a vyhradne moznost, neuznat reklamaci vady (jedne konkretni), kterou si zpusobil spotrebitel ... (a tady sme u navodu v cestine, u toho, ze cokoli uzivatel muze delat, musi byt radne zdokumentovano ...)
=> pokud (napriklad) jdete reklamovat cojavim nefungujici vetrak na grafarne, nelze vam reklamaci neuznat s tim, ze mate vytrzeny VGA konektor, nebot s tim reklamovana zavada nesouvisi.
Co myslite, co se prodejci vyplati vic, vykodit 3k za MB/krabku/... nebo 30k za pravniky? Vyhrat totiz nema sanci.
-
Petr M (neregistrovaný)
Jako správce diskusního serveru se nemůžu IPv6 dočkat. Důvod? Pokud někdo dělá v diskusích binec, bude stačit bloknout IP adresu. Když se připojí z jiné podobné, tak ustřihnout jeho podsíť a fertyk.
Teď kdybych hodil do htconfig blokování jedné IP podle toho, co vidím u komentáře, odstřihnu si dvě města...
Mimochodem, doma routování/AP pro WiFI dělá hacknutý stroj s DD-WRT a osvědčil se líp, než s originál firmware...
